Justin Nam

**Nome do Software Vulnerável e Versões Afetadas** Royal Addons for Elementor versões anteriores a 1.7.1057 **Descrição** O plugin Royal Addons for Elementor para WordPress contém um problema de Stored Cross-Site Scripting no widget Instagram Feed. A falha reside na configuração `instagram follow text` devido à sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso Contributor ou superior podem injetar scripts web arbitrários em páginas. Esses scripts são executados quando um usuário visita a página afetada. A exploração requer que um administrador tenha configurado previamente o widget Instagram Feed com um token de acesso válido do Instagram. **Recomendações** Atualize o plugin para uma versão posterior à 1.7.1056. Como medida paliativa temporária, restrinja o acesso à configuração `instagram follow text` no widget Instagram Feed a usuários com privilégios mais elevados ou evite usar essa configuração específica até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Jeg Kit for Elementor versões anteriores a 3.1.1 **Descrição** O plugin Jeg Kit for Elementor para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas devido à sanitização de entrada e escape de saída insuficientes. Isso ocorre por meio do parâmetro `sg content number prefix`, e os scripts são executados sempre que um usuário visita a página afetada. **Recomendações** Atualize para uma versão posterior à 3.1.0. Como medida paliativa temporária, restrinja o acesso ao parâmetro `sg content number prefix` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Royal Addons for Elementor versões anteriores a 1.7.1057 **Description** O plugin Royal Addons for Elementor para WordPress contém um problema de Cross-Site Scripting Armazenado no widget Instagram Feed. A falha existe na configuração `instagram follow text` devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com nível de acesso de Colaborador ou superior injetem scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada. **Recommendations** Atualize o plugin para uma versão posterior a 1.7.1056. Como medida paliativa temporária, restrinja o acesso à configuração `instagram follow text` no widget Instagram Feed para usuários com privilégios administrativos mais elevados.